🔒 为什么你的网站必须开启 HSTS？HTTPS 证书部署后的终极安全配置

HSTS：防止中间人攻击的利器

安装 SSL 证书并开启 HTTPS 只是网站安全的第一步。为了防止用户因为习惯或手动输入 HTTP 链接而导致信息泄露，您需要启用 **HTTP 严格传输安全 (HSTS)** 策略。

📜 HSTS 的作用：

HSTS 通过在 HTTP 响应头中添加 `Strict-Transport-Security` 字段，强制浏览器在指定的有效期内，后续对该域名的所有访问都必须使用 HTTPS，即使输入了 HTTP 链接，浏览器也会自动重定向，从而彻底杜绝降级攻击和中间人攻击。

部署步骤：

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

建议将 `max-age` 设置为一年（31536000秒），并考虑提交到浏览器 `preload` 列表，实现浏览器首次访问就强制 HTTPS。这是 现代网站的最低安全要求。